elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Buster Sandbox Analyzer
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 5 6 7 8 9 10 Ir Abajo Respuesta Imprimir
Autor Tema: Buster Sandbox Analyzer  (Leído 55,298 veces)
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #10 en: 4 Junio 2010, 20:07 pm »

En [File_Types_Created_Modified] se definen los tipos de archivos que deben mostrarse cuando se crean o se modifican.

En [Custom_Folders_Entries] se definen los directorios que deben mostrarse cuando un fichero es escrito dentro de ellos.

Hay reglas que se cumplen para un mismo fichero. Imagina que definimos en [File_Types_Created_Modified] los ficheros tipo .SYS y en [Custom_Folders_Entries] definimos C:\Archivos de programa. Si aparece por ejemplo:

C:\Archivos de programa\Prueba\Fichero.SYS

ese fichero cumple ambas reglas: es .SYS y está en C:\Archivos de programa.

En ese caso sólo se notifica la primera coincidencia.

Las reglas están hechas para que sean lo más flexibles posibles y permitan abarcar el mayor abanico de situaciones posibles.

En cuanto a las sugerencias...

Lo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.

La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia.


En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #11 en: 4 Junio 2010, 20:20 pm »

Claro, si he entendido entonces :)
La diferencia es que con un custom también recibo notificación de otras extensiones, como los bin que usa el zeus :P

Citar
Lo que es significativo es la creación del fichero AUTORUN.INF, el contenido no es relevante ya que el fichero al que apunta será reportado por una de las reglas casi con toda seguridad ya que será un archivo ejecutable.

La carpeta RECYCLER puede añadirse al grupo de [Custom_Folders_Entries]. De todas formas lo más probable es que si se mete algún fichero ahí dentro ya exista una regla que lo contemple y por lo tanto avise de su presencia.

Eso es verdad, ocurre en casi todos los casos, lo comentaba desde el punto de vista de marcar como peligroso un archivo por el hecho de crear un autorun.inf, esta claro que si analizamos un archivo es porque no le tenemos confianza, pero creo que es algo que puede pesar en cuanto al nivel de riesgo.

Esto lo comento porque hay algún "antivirus" para usb que se encuentra en la red, que entre otras cosas reporta como virus (muestra alerta) a un notepad.exe si lo pones como destino de un autorun.inf, es decir, un archivo legítimo te lo muestra como virus por estar ahí :-\

Pero ya, entiendo que parte de esta tool no es la de funcionar como un AV, sino por sobre todo alertar sobres los cambios y que luego alguien pueda evaluar.

Saludos


En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #12 en: 4 Junio 2010, 20:28 pm »

Efectivamente. Con un custom podemos definir otras extensiones que nos parezcan significativas, com los .BIN o un .ZIP o un .RAR.

Y sí, BSA no es un antivirus ni pretende funcionar como tal. El antivirus debe ser el propio usuario.

Piensa que si con un log hecho con el HiJackThis eres capaz de decirle a un usuario si está infectado, imagina con un análisis hecho con el BSA que es muchísimo más completo. Más fácil todavía.
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #13 en: 4 Junio 2010, 20:36 pm »

Ambos dos tienen sus ventajas, lo que ocurre es que para el hijackthis no necesito el ejecutable :P

Pero bueno, he estado revisando el .DAT y me parece realmente muy completo, así que por el momento no se me ocurren más nada.

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #14 en: 4 Junio 2010, 20:58 pm »

Hay una diferencia significativa entre el BSA y el HiJackThis. El BSA previene y evita infecciones. El HiJackThis es para cuando piensas que ya estás infectado. Más vale prevenir que curar, así que es mejor pasar el BSA que el HiJackThis.  ;)

Gracias de todas formas por echarle un vistazo. Entiendo que es complicado encontrar cosas nuevas que añadir porque el proyecto está realmente avanzado.

Saludos.
En línea

traxtor

Desconectado Desconectado

Mensajes: 58


Ver Perfil WWW
Re: Buster Sandbox Analyzer
« Respuesta #15 en: 4 Junio 2010, 21:09 pm »

La tenia en la lista de pendientes, pero me temo que voy a tener que hacerla subir algunos puestos para poder examinarla lo antes posible. Enhorabuena!!

Saludos
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #16 en: 4 Junio 2010, 21:11 pm »

Hay una diferencia significativa entre el BSA y el HiJackThis. El BSA previene y evita infecciones. El HiJackThis es para cuando piensas que ya estás infectado. Más vale prevenir que curar, así que es mejor pasar el BSA que el HiJackThis. ;)

Lo se, lo que ocurre es que para eso deberías de usar el ordenador con el sandboxie, y la mayoría de los que vienen al foro ya se han infectado y ya es tarde, solo queda pedirles que intenten subir una muestra :xD

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #17 en: 4 Junio 2010, 21:48 pm »

El Sandboxie es una herramienta que todo el mundo debería usar pero la realidad es que la mayoría de la gente no lo conoce.  :-\

Para usar el BSA es imprescindible tener el Sandboxie instalado y eso echa para atrás a mucha gente pero teniendo en cuenta que no se nota que lo tienes instalado eso no debería ser obstáculo.

También asusta un poco que parece muy complejo porque tiene muchas opciones, pero para hacer análisis de malware no se necesita mas que ejecutar el fichero sospechoso. Apenas hay que configurar nada.

Estoy pensando en hacer unos video tutoriales cuando termine de añadir lo que tengo pendiente. Quizás así más gente se anime a usarlo.
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #18 en: 4 Junio 2010, 21:58 pm »

No estaría mal, más vale que sobre y no que falte :P

Otra cosa que había olvidado comentar, si abres el BSA tal cual viene en el archivo comprimido da problemas con los archivos de pcap, te dice que falta este o aquel otro.

Ayer cuando me paso eso directamente me instale winpcap que lo tenía a mano, pero ahora me doy cuenta que viene dentro del rar, y que basta con mover todos los archivos del directorio PCAP para afuera (al directorio principal del BSA), quizás podrías hacer algo con eso, por lo mismo que algún usuario se "asusta" :-\

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Buster_BSA

Desconectado Desconectado

Mensajes: 138


Ver Perfil
Re: Buster Sandbox Analyzer
« Respuesta #19 en: 4 Junio 2010, 22:08 pm »

Dentro del BSA.RAR hay un fichero llamado README.TXT (LEEME.TXT) donde se explica que el BSA necesita el WinPCap para funcionar. En caso de no querer instalarlo por los motivos que sean se tienen que copiar dos ficheros (que están en el directorio PCAP) al directorio System32 de Windows.

Copiar los dos ficheros simplemente evita el error y permite que el BSA se ejecute, pero la capacidad de capturar los paquetes de la red no estaría disponible. Esto provoca que características importantes para el analisis no funcionen. Por lo tanto instalar el WinPCap, aunque no es imprescindible, es altamente recomendable.

Otro problema es que la gente se pone a jugar con los programas sin antes leer la documentación. Luego me llega gente preguntando: oye, que cuando ejecuto el BSA me da un error y me dice que falta el fichero tal o el fichero cual...

¡RTFM!  ;D

En línea

Páginas: 1 [2] 3 4 5 6 7 8 9 10 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[JavaFX] VirusTotal Analyzer « 1 2 »
Java
Mitsu 12 9,100 Último mensaje 13 Noviembre 2013, 00:02 am
por xir00tz
DS_Store Analyzer Online
Nivel Web
MichBukana 0 2,118 Último mensaje 4 Septiembre 2014, 09:10 am
por MichBukana
problema al instalar hda analyzer
GNU/Linux
gAb1 0 1,991 Último mensaje 7 Septiembre 2015, 03:01 am
por gAb1
Iso Buster Profesional
Software
Zorronde 1 1,845 Último mensaje 7 Enero 2020, 00:19 am
por 4rm4ndo
Ayuda para mejorar el Buster Sandbox Analyzer
Análisis y Diseño de Malware
Buster_BSA 5 11,447 Último mensaje 24 Agosto 2021, 17:52 pm
por Buster_BSA
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines